Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en eCommerce de Cradle

Fecha de publicación 08/05/2026
Identificador
INCIBE-2026-334
Importancia
3 - Media
Recursos Afectados

Cradle eCommerce (demo.cradlecms.com): última versión de la demo.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media que afectan a Cradle eCommerce, un sistema todo en uno con servidor para gestionar proyectos web. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-CVE-2026-3318: CVSS v4.0: 5.3 | CVSS:4.0/  AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N | CWE- 601
  • De CVE-2026-3319 a CVE-2026-3320: 5.1 | CVSS:4.0/ AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Cradle en la última versión de Cradle eCommerce.

Este problema no afecta a Cradle CMS, ya que no cuenta con productos ni colecciones, ni con cuentas de cliente para iniciar sesión.

Detalle
  • CVE-2026-3318:vulnerabilidad de redireccionamiento abierto en la última versión demo de la plataforma Cradle eCommerce. La vulnerabilidad se produce en el endpoint del formulario de inicio de sesión, donde el parámetro 'returnUrl' permite el redireccionamiento, ya que la aplicación web acepta una URL como parámetro sin validarla adecuadamente. Como resultado, es posible redirigir a los usuarios desde la página web legítima a páginas externas. Un atacante puede aprovechar esta vulnerabilidad para engañar a los usuarios y redirigirlos desde una URL de confianza a una maliciosa sin su conocimiento.
  • Cross-Site Scripting (XSS) reflejado en la última versión demo de la plataforma Cradle eCommerce. La entrada controlada por el usuario se refleja de forma insegura en la salida HTML. La explotación de esta vulnerabilidad permitiría a un atacante ejecutar código JavaScript arbitrario. La relación de parámetros e identificadores asignados es la siguiente:
    • CVE-2026-3319: endpoint '/collection/'.
    • CVE-2026-3320: endpoint '/product/'.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-3318 Media No Cradle CMS
CVE-2026-3319 Media No Cradle CMS
CVE-2026-3320 Media No Cradle CMS
Listado de referencias
Cradle CMS & eCommerce
Etiquetas